一、前言
我想记录一下我学习高项的过程,从中积累经验,把重点内容呈现给看到这篇文章想要进步的你,信息系统项目管理对于大多数人来说非常陌生,但是我讲几点大多数卖课老师的话术:
1、掌握相关知识和技能
2、户籍加分、扎根落户
3、提升个人待遇
4、评高级职称
5、考过可以抵扣3600的税
整体为技术人员转管理岗补齐短板,你可能也会开始重视他,希望这些重点内容也能帮到大家,人需要不断学习,每个证书都是你学习的影子,每天写到哪算哪,持续巩固预习中,5月第一战,倒计时144天。
时光荏苒,岁月穿梭,假期全休息了,一点都没学,还有不到五个月,继续努力啃吧,就是个文科考试,勇敢牛,不怕难。
二、重点精炼内容
第3章 信息系统治理
3.1IT 治理
3.1.1 IT理基础
IT 治理是描述组织采用有效的机制对信息技术和数据资源开发利用,平衡信息化发展和数字化转型过程中的风险,确保实现组织的战略目标的过程。
1.IT 治理的驱动因素
IT 治理是指组织在开发利用信息技术过程中,为鼓励组织所期望的组织行为而明确决策权归属和责任担当的框架,其目标是通过IT 治理的决策权和责任影响组织所期望的组织行为。
2.IT 治理的目标价值
IT 治理主要目标包括:与业务目标一致、有效利用信息与数据资源、风险管理。
(1)与业务目标一致。IT 治理要从组织目标和数字战略中抽取信息与数据需求和功能需求形成总体的IT 治理框架和系统整体模型,为进一步系统设计和实施奠定基础,保证信息技术开发利用跟上持续变化的业务目标。
(2) 有效利用信息与数据资源。目前信息系统工程超期、IT 客户的需求没有满足、IT 平台不支持业务应用、数据开发利用效能与价值不高、信息技术与业务发展融合深度不够等问题突通过IT 治理对信息与数据资源的管理职责进行有效管理,保证投资的回收,并支持决策。
(3)风险管理。由于组织越来越依赖于信息网络、信息系统和数据资源等,新的风险不断涌现,例如,新出现的技术没有管理,不符合现有法律和规章制度,没有识别对IT 服务的威助等。IT 治理重视风险管理,通过制定信息与数据资源的保护级别,强调对关键的信息与数据资源,实施有效监控和事件处理
(理解:IT 治理目标:与业务目标一致、有效利用信息与数据资源、风险管理。)
3.IT 治理的管理层次
IT 治理要保证总体战略目标能够从上而下贯彻执行,治理层主要集中在最高管理层(如董事会)和管理执行层。好的IT 治理实践需要在组织全部范围内推行。管理层次大致可分为三层,最高管理层、执行管理层、业务与服务执行层。
最高管理层的主要职责包括: 证实IT 战略与业务战略是否一致:证实通过明确的期望和衡量手段交付IT 价值,指导IT 战略、平衡支持组织当前和未来发展的投资,指导信息和数据资源的分配。
执行管理层的主要职责包括: 制定IT 的目标:分析新技术的机遇和风险:建设关键过程与核心竞争力:分配责任、定义规程、衡量业绩: 管理风险和获得可靠保证等。
业务及服务执行层的主要职责包括:信息和数据服务的提供和支持:IT 基础设施的建设和维护:IT 需求的提出和响应。
(理解:IT治理管理:最高管理层、执行管理层、业务与服务执行层)
3.1.2 IT治理体系
IT 治理用于描述组织在信息化建设和数字化转型过程中是否采用有效的机制使得信息技术开发利用能够完成组织赋予它的使命。IT 治理的核心是关注IT 定位和信息化建设与数字化转的责权利划分,IT 治理体系的具体构成包括IT 定位:IT 应用的期望行为与业务目标一致:IT 治理架构:业务和IT 在治理委员会中的构成、组织IT 与各分支机构的IT 权责界等:T 治理内容:投资、风险、绩效、标准和规范等:IT 治理流程,统筹、评估、指导、监督:IT 治理效果 (内外评价) 等。
1.IT 治理关键决策
有效的IT 治理必须关注五项关键决策,包括IT原则、IT架构、IT基础设施、业务应用需求、IT投资和优先顺序。IT原则驱动着T 整体架构的形成,而IT 整体架构又决定"基础设施,这种基础设施所确定的能力又决定着基于业务需求应用的构建,最后,IT 投资和优先顺序必须为IT 原则、整体架构、基础设施和应用需求所驱动。然而,这些决策中又有独特问题,即IT 治理需要确定每个决策由谁来负责输入,以及由谁来负责做出决策。
(理解:IT治理决策:IT原则、IT架构、IT基础设施、业务应用需求、IT投资和优先顺序)
2.IT 治理体系框架
IT 治理体系框架具体包括:IT 战略桥梁,目标、IT 治理组织、IT 治理机制、IT 治理域、IT 治理标准和T 绩效目标等部分,形成一整套T 治理运行闭环,
3.IT 治理核心内容
IT 治理的核心内容包括六个方面:组织职责、战略匹配、资源管理、价值交付、风险管理和绩效管理
(理解:IT治理内容:组织职责、战略匹配、资源管理、价值交付、风险管理和绩效管理)
4.IT 治理机制经验
建立IT 治理机制的原则包括:1简单。机制应该明确地定义特定个人和团体所承担的责任和目标。2透明。有效的机制依赖于正式的程序。对于那些被治理决策所影响或是想要挑战治理决策的人来说,机制如何工作是需要非常清晰的。3适合。机制鼓励那些处于最佳位置的个人去制定特定的决策
3.1.4 IT治理方法与标准
1.ITSS 中IT 服务治理
GB/T 34960.1《信息技术服务 治理 第1部分: 通用要求》规定了IT 治理的模型和框架、实施IT 治理的原则,以及开展IT 顶层设计、管理体系和资源的治理要求。该标准可用于:
1建立组织的IT 治理体系,并实施自我评价;
2开展信息技术审计;
3研发、选择和评价IT 治理相关的软件或解决方案;
4第三方对组织的 IT 治理能力进行评价。
(理解:通用要求:组建治理体系,实施自我评价,开展技术审计,研发选择评价软件和解决方案,第三方对治理能力评价)
各级各类信息化主管部门可根据法律法规、部门规章的要求,使用该标准对所管辖各类组织的 IT 治理提出要求,并进行评指导和监督
该标准定义的IT 治理框架包含信息技术顶层设计、管理体系和资源三大治理域
(理解:IT治理框架:信息技术顶层设计、管理体系、资源)
2)ITT 治理实施指南
GB/T 34960.2《信息技术服务 治理 第 2 部分:实施指南》提出了IT 治理通用要求的实施指南,分析了实施IT 治理的环境因素,规定了IT 治理的实施框架、实施环境和实施过程,并管理体系治理和资源治理的实施要求。该标准适用于。
1建立组织的 IT 治明确顶层设计治理、理实施框架,明确实施方法和过程,
2组织内部开展I 治理的实施,
3IT 治理相关软件或解施落地的指导。
4 第三方开展IT 治理评价的指导
2.信息和技术治理框架
管理目标分为四个领域:
1调整、规划和组织 (APO) 针对IT 的整体组织、战略和支持活动:
2内部构建、外部采购和实施 (BAI) 针对T 解决方案的定义、采购和实施以及它们到业务流程的整合,
3交付、服务和支持 (DSS) 针对T 服务的运营交付和支持,包括安全
4监控评价和评估(MEA) 针对IT 的性能监控及其与内部性能目标、内部控制目标和外部要求的一致程度。治理目标与治理流程有关,而管理目标与管理流程有关。治理流程通常由董事会和执行管理层负责,而管理流程则在高级和中级管理层的职责范围内。
(理解:治理五领域,董事会评指监EDM、高中级调整规划组织APO、构建采购实施BAI、交付服务支持DSS、监控评价评估MEA)
组织开展治理系统设计通过流程化的方式进行,COBIT 给出了建议设计流程,
1了解组织环境和战略,
2确定治理系统的初步范围,
3优化治理系统的范围,
4最终确定治理系统的设计
3.2 IT 审计
3.2.1 IT审计基础
2.IT 审计目的
IT 审计的目的是指通过开展IT 审计工作,了解组织IT 系统与IT 活动的总体状况,对组织是否实现IT 目标进行审查和评价,充分识别与评估相关IT 风险,提出评价意见及改进建议促进组织实现 IT 目标。
组织的IT 目标主要包括: 1组织的IT 战略应与业务战略保持一致:2保护信息资产的安全及数据的完整、可靠、有效,3提高信息系统的安全性、可靠性及有效性。4合理保证信息系统及其运用符合有关法律、法规及标准等的要求
3.IT 审计范围
5.IT 审计风险
ITT 审计风险主要包括固有风险、控制风险、检查风险和总体审计风险。固有风险、控制风检查风险的内容
总体审计风险是指针对单个控制目标所产生的各类审计风险总和。良好的审计计划应尽可能评估和控制审计风险,减少或控制所检查领域的审计风险,比如采取合适的审计工具,在完成审计时把总体审计风险控制在足够低的水平之内,以达到预期保证水平。
审计风险也用于描述审计人员在执行审计任务时可接受的风险水平。审计人员可通过设定目标风险水平并调整审计工作量,以合适的审计成本满足最小化总体审计风险要求。
(理解:IT审计风险:固有、控制、检查、总体审计)
3.2.2 审计方法与技术
2.IT 审计常用方法
常用审计方法包括:访谈法、调查法、检查法、观察法、测试法和程序代码检查法
(理解:IT审计方法:访谈法、调查法、检查法、观察法、测试法和程序代码检查法)
3.IT 审计技术
常用的IT 审计技术包括风险评估技术、审计抽样技术、计算机辅助审计技术及大数据审计技术。
1)风险评估技术
风险识别技术:风险分析技术:风险评价技术 风险应对技术:
2)审计抽样技术
审计抽样是指审计人员在实施审计程序时,从审计对象总体中选取一定数量的样本进行测并根据测试结果,推断审计对象总体特征的一种方法。
3) 计算机辅助审计技术
计算机辅助审计 (Computer Assisted AuditTools,CAAT),也称为利用计算机审计,是指审计人员在审计过程和审计管理活动中,以计算机为工具来执行和完成某些审计程序和任务的一种新兴审计技术。它并非电算化系统审计特有的一种方法,对手工系统的审计也可应用这些技术。
4)大数据审计技术
大数据审计是指遵循大数据理念,运用大数据技术方法和工具,利用数量巨大、来源分散格式多样的数据,开展跨层级、跨系统、跨部门和跨业务等的深入挖掘与分析,提升审计发现问题、评价判断、宏观分析的能力。大数据审计技术包括大数据智能分析技术、大数据可视化分析技术及大数据多数据源综合分析技术等
(理解:IT审计技术:风险评估技术、审计抽样技术、计算机辅助审计技术及大数据审计技术)
4.IT 审计证据
审计证据是指由审计机构和审计人员获取,用于确定所审计实体或数据是否遵循既定标准或目标,形成审计结论的证明材料。
5.IT 审计底稿
审计工作底稿是指审计人员对制订的审计计划、实施的审计程序、获取的相关审计证据,以及得出的审计结论做出的记录。审计工作底稿是审计证据的载体,是审计人员在审计过程中形成的审计工作记录和获取的资料。它形成于审计过程,也反映整个审计过程。审计底稿的作用表现在:是形成审计结论、发表审计意见的直接依据:
是评价考核审计人员的主要依据
是审计质量控制与监督的基础;
对未来审计业务具有参考备查作用
审计工作底稿一般分为综合类工作底稿、业务类工作底稿和备查类工作底稿
通常,根据审计机构的组织规模和业务范围,可以实行对审计工作底稿的三级复核制度审计工作底稿三级复核制度是指以审计机构负责人、部门负责人和项目负责人 (或项目经理为复核人,依照规定的程序和要点对审计工作底稿进行逐级复核的制度。三级复核制度目前已成为较为普遍采用的形式,对于提高审计工作质量、加强质量控制起了重要的作用
(理解:IT审计工作底稿:综合、业务、备查)
3.2.3 审计流程
一般分为审计准备审计实施、审计终结及后续审计四个阶段,每个阶段又包含若干具体内容
(1)审计准备阶段。IT 审计准备阶段是指IT 审计项目从计划开始,到发出审计通知书为止的期间。准备阶段是整个审计过程的起点和基础,准备阶段的工作是否充分、合理、细致,对提高审计工作效率,保证审计工作质量至关重要。准备阶段工作一般包括:1明确审计目的及任务:2组建审计项目组:3搜集相关信息;4编制审计计划等
(2) 审计实施阶段。IT 审计实施阶段是审计人员将项目审计计划付诸实施的期间。此阶段的工作是审计全过程的中心环节,是整个审计流程的关键阶段,关系到整个审计工作的成败。实施阶段主要完成工作包括:
1深入调查并调整审计计划:
2了解并初步评估IT内部控制:
3进行符合性测试:
4进行实质性测试等
(3) 审计终结阶段。IT 审计终结阶段是整理审计工作底稿、总结审计工作、编写审计报告做出审计结论的期间。审计人员应运用专业判断,综合分析所收集到的相关证据,以经过核实的审计证据为依据,形成审计意见、出具审计报告。终结阶段的工作一般包括:
1整理与复核审计工作底稿,
2整理审计证据,
3评价相关IT 控制目标的实现,
4判断并报告审计发现:
5沟通审计结果:
6出具审计报告,
7归档管理等
(4) 后续审计阶段。后续审计是在审计报告发出后的一定时间内,审计人员为检查被审计单位对审计问题和建议是否已经采取了适当的纠正措施,并取得预期效果的跟踪审计。后续审计并不是一次新的审计,而是前一次审计的有机组成部分。实施后续审计,可不必遵守审计流程的每一过程和要求,但必须依法依规进行检查、调查,收集审计证据,写出后续审计报告
(理解:IT审计流程:审计准备、审计实施、审计终结、后续审计)
3.2.4 审计内容
IT 审计业务和服务通常分为IT 内部控制审计和IT 专项审计。IT 内部控制审计主要包括组织层面IT 控制审计、IT 一般控制审计及应用控制审计,IT 专项审计主要是指根据当前面临的特珠风险或者需求开展的IT 审计,审计范围为T 综合审计的某一个或几个部分。有关IT 内部按制审计与 IT 专项审计的具体内容
(理解:IT审计内容:IT 内部控制审计和IT 专项审计)
3.3 本章练习
1. 选择题
(1)“计算机硬件故障或软件不足,易造成信息的损坏和丢失,导致数据处理过程中发生偶发错误”,描述的风险类型是___
A.固有风险 B.控制风险参考 C.检查风险 D.审计风险
(2)___指审计人员在审计实施阶段为执行具体审计程序所形成的审计工作底稿。
A.综合类工作底稿 B.业务类工作底稿 C.备查类工作底稿 D.技术类工作底稿
(3)关于IT审计范围的描述,不正确的是:___
A.总体范围需要根据审计目的和投入的审计成本来确定
B.组织范围需明确审计涉及的组织机构、主要的流程、活动及人员等
C.逻辑范围需明确涉及的信息系统
D.物理范围需明确具体的物理地点与边界
(4)组织外包其软件开发,___是该组织IT 管理的责任。
A.作为开发人员参加系统设计 B.支付服务提供商 C.与服务提供商谈判合同 D.控制服务提供商遵守服务合同
(5)___不属于IT治理的三大主要目标。
A.与业务目标一致 B.质量控制 C.有效利用信息与数据资源 D.风险管理
(6)《信息技术服务 治理第1部分:通用要求》标准不适用于___
A.建立组织的IT治理体系并实施自我评价
B.组织的IT治理能力进行自我评价
C.研发、选择和评价IT 治理相关的软件或解决方案
D.开展信息技术审计
(7)COBIT 2019核心模型中的治理和管理目标分为五个领域,___领域是董事会和执行管理层负责。
A.评估、指导和监控(EDM) B.调整、规划和组织(APO) C.内部构建、外部采购和实施(BAI) D.交付、服务和支持(DSS)
参考答案:ABCDBBA
2.思考题
(1)IT 治理的管理层次可分为三层: 最高管理层、执行管理层、业务与服务执行层,请简要描述这3个层次的主要职责分别是什么?
最高管理层的主要职责包括: 证实IT 战略与业务战略是否一致:证实通过明确的期望和衡量手段交付IT 价值,指导IT 战略、平衡支持组织当前和未来发展的投资,指导信息和数据资源的分配。
执行管理层的主要职责包括: 制定IT 的目标:分析新技术的机遇和风险:建设关键过程与核心竞争力:分配责任、定义规程、衡量业绩: 管理风险和获得可靠保证等。
业务及服务执行层的主要职责包括:信息和数据服务的提供和支持:IT 基础设施的建设和维护:IT 需求的提出和响应。
(2)IT 治理的核心内容包括哪6个方面,请简述?
IT治理内容:组织职责、战略匹配、资源管理、价值交付、风险管理和绩效管理
(3)请指出IT 审计的常用方法,并根据你的理解举例说明信息系统项目管理可能使用的方法及具体运用。
常用审计方法包括:访谈法、调查法、检查法、观察法、测试法和程序代码检查法
三、跋文
必须背必须记,知识点太杂乱了,需要经常翻阅书本和相关的思路树,书山有路勤为径,学海无涯苦作舟
